L'arte dell'inganno

Da Wikipedia, l'enciclopedia libera.
L'arte dell'inganno
Titolo originale The Art of Deception
Autore Kevin Mitnick
1ª ed. originale 2002
Genere Saggio
Sottogenere Sicurezza informatica
Lingua originale inglese
« La mente umana è un'invenzione meravigliosa. È interessante notare quanto riesca a essere creativa la gente quando si tratta di inventare modi subdoli per ottenere quanto le pare o per togliersi da una situazione spinosa. Dovete usare la medesima creatività e immaginazione per proteggere i sistemi informatici e di informazione nei settori pubblici e privati. Perciò, gente, quando pensate alle politiche di sicurezza delle vostre aziende ... siate creativi e pensate fuori dal sentiero tracciato.[1] »

L'arte dell'inganno è un libro sull'ingegneria sociale scritto da Kevin David Mitnick insieme a William Simon nel 2001, pubblicato nel 2002 col titolo originale The Art of Deception e uscito in Italia nel 2003. Tratta in modo approfondito e meticoloso dei differenti modi per ottenere informazioni e chiavi di accesso ai sistemi informativi.

L'inganno in sé, è rappresentato dal social engineering utilizzato dai protagonisti delle storie raccolte nel libro. In pratica evidenzia la facilità con cui molte persone, nonostante siano consapevoli dei rischi e dell'importanza di password e dati sensibili, sono disposti a svelarle. Spesso le vittime arrivano a credere che rivelare una password via telefono, ad una persona sconosciuta che dice di essere un tecnico che fa manutenzione informatica, o un collega in difficoltà, non solo sia innocuo ma anzi credono di aver dato una mano ad un lavoratore come loro.

A differenza di ciò che si potrebbe aspettare, il libro non è un manuale su come ingannare un sistema informatico, ma al contrario offre molti aspetti riflessivi che spingeranno il lettore a capire il vero valore dei propri dati sensibili. Tutto questo grazie anche ad analisi complete su ogni singolo attacco, con relativi consigli su come non cadere in trappole simili.

Infine osserva da vicino il fenomeno dell'ingegneria sociale, mostrando alla gente cosa può fare una qualsiasi persona anche senza un livello elevato di conoscenze informatiche. Non tutti gli esempi sono veramente accaduti[1], ma anche quelli di pura finzione rispecchiano di molto la realtà ed espongono la facilità con cui chi si avvale dell'ingegneria sociale può eludere regole e protocolli che la maggior parte delle persone dà per scontato. Alcuni esempi:

  • una persona evita una multa per eccesso di velocità raggirando la polizia che rivela il periodo in cui l'agente che ha eseguito l'arresto sarebbe stato fuori città e richiedendo poi che la data di giudizio coincidesse con quel periodo.
  • una persona ottiene l'accesso al sistema interno informatico di una compagnia, protetto da una password che cambia giornalmente, approfittando di una tempesta di neve e chiamando poi l'azienda fingendosi un impiegato, rimasto a casa per via della bufera, desideroso di lavorare da casa truffando l'operatore che rivela la password odierna.
  • una persona ottiene l'accesso ad un sacco di informazioni riservate circa una compagnia di start-up aspettando che il CEO fosse fuori città per poi presentarsi al quartier generale della compagnia asserendo di essere un amico stretto e collega di affari del CEO.
  • una persona ottiene l'accesso ad un'area riservata avvicinandosi alla porta d'ingresso trasportando una grossa scatola di libri e contando sul fatto che le persone sono propense a mantenere la porta aperta per gli altri in quella situazione.

Inoltre, dopo aver dato degli esempi, vengono descritti ed analizzati quali sono stati i trucchi usati illustrando come prevenirli nella vita di tutti i giorni o negli affari.

Il libro si conclude con dei piani strategici sviluppati da Mitnick per prevenire la maggior parte delle truffe presentati nel libro.

La scelta di non trattare l'hacking solo dal punto di vista tecnologico, è stata una scelta forse dettata dalla consapevolezza dell'uscita del seguito The Art of Intrusion - The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers, che invece inquadra questo aspetto più tecnologico e meno "psicologico". In italia il libro è uscito nel 2005 con il titolo L'arte dell'intrusione.

Struttura del libro[modifica | modifica wikitesto]

Argomenti affrontati[modifica | modifica wikitesto]

La sicurezza informatica è una delle principali preoccupazioni sia di grandi che di piccole imprese, ma la maggior parte degli amministratori non tengono conto del fatto che mentre i computer possono essere relativamente protetti con firewall o software antivirus, l'elemento più difficile da controllare è l'insieme di persone che lavora con loro.

Citando l'autore Kevin Mitnick "il fattore umano è veramente l'anello più debole della sicurezza".

L'arte dell'inganno di Mitnick è un trattato sull'ingegneria sociale, o l'arte di "convincere la gente a fare cose che normalmente non farebbero per un estraneo[1]".

Mitnick, che ha recentemente trascorso alcuni anni in reclusione, è certamente un maestro in questo e il libro dà una serie di aneddoti raccontando come le persone, con solo alcune domande innocenti, possano ottenere accesso ad alcuni dei più "sicuri" sistemi informatici.

Il libro è scritto in un tono colloquiale come se qualcuno fosse seduto accanto al lettore a raccontare storie ed esperimenti. Mitnick dimostra che, in molti casi , gli hacker non necessitano di passare notti dietro un monitor a scrivere codici su codici, com'è nel pensiero collettivo comune. Spesso si limitano a semplici giri di telefonate o espedienti per ottenere una password o una username.

L'arte dell'inganno offre una buona panoramica su uno degli aspetti più trascurati della sicurezza informatica, con esempi e soluzioni concrete per proteggere le aziende da ingegneri sociali. Il libro può essere un campanello d'allarme per chiunque non avesse mai considerato il lato umano all'interno della sicurezza aziendale o privata.

Il libro si compone di 4 parti e alcuni degli esempi mettono in luce due aspetti importanti che lo compongono: da un lato la quasi assurda facilità con cui gli esperti di ingegneria sociale riescano nei loro intenti mentre dall'altra parte spiccano l'ingenguità e la dabbenaggine delle persone.

Parte Prima - Dietro le quinte[modifica | modifica wikitesto]

Nella prima parte sono trattati "gli anelli più deboli della sicurezza", ossia come un attaccante sfrutti il lato debole umano all'interno di una struttura sociale e viene mostrato il perché un generico soggetto, o un'azienda, risulti a rischio di attacchi da parte degli ingegneri sociali.

Parte Seconda - L'arte dell'attaccare[modifica | modifica wikitesto]

Nella seconda parte viene messo in luce come gli ingegneri sociali si facciano beffe della fiducia della vittima, del desiderio di quest'ultima di dimostrarsi utile e della sua simpatia per ottenere ciò che vogliono. Gli esempi riportati, riguardanti alcuni attacchi tipici, mostrano come gli ingegneri sociali possano indossare tante uniformi e tante maschere.

"Se pensate di non averne mai incontrati, probabilmente vi sbagliate. Riconoscerete in questi aneddoti una vicenda che avete già vissuto, e vi interrogherete se per caso avete avuto in quell'occasione un incontro ravvicinato con il social engineering. Possibilissimo."[1]

Parte Terza - Allarme intruso[modifica | modifica wikitesto]

La terza parte è quella in cui si spiega come l'ingegnere sociale alzi la posta in gioco attraverso alcune storie inventate che dimostreranno come può infiltrarsi in aree aziendali, appropriarsi di informazioni segrete che possono intaccare in modo consistente la compagnia ed eludere le misure di sicurezza.

"I racconti di questa sezione vi faranno capire che i pericoli possono annidarsi dalla vendetta del singolo dipendente al cyberterrorismo."[1]

Parte Quarta - Innalzare la sbarra[modifica | modifica wikitesto]

Nella quarta parte si discute con linguaggio più "aziendale" come sventare gli attacchi degli ingegneri sociali. Inoltre viene fornito uno schema di un programma di addestramento alla sicurezza ed un Vademecum contenente una completa politica di sicurezza che è possibile adattare alla diversa natura organizzativa aziendale per tutelare l l'azienda e le informazioni.

Note[modifica | modifica wikitesto]

  1. ^ a b c d e Kevin Mitnick, in L'arte dell'inganno, 19 marzo 2016. URL consultato il 19 giugno 2016.

Bibliografia[modifica | modifica wikitesto]

  • Kevin David Mitnick, L'arte dell'inganno, Milano, Feltrinelli Editore, 2002, ISBN 8807818418.
  • Kevin David Mitnick, L'arte dell'intrusione, Milano, Feltrinelli Editore, 2006, ISBN 8807171228.

Voci correlate[modifica | modifica wikitesto]

I signori della truffa